PANewsは4月25日、ZKsyncが500万ドル相当のZKトークンが絡んだ過去のセキュリティインシデントに関する調査報告書を発表したと報じた。 4月13日、攻撃者は盗んだ管理者キーを使用して、3つのエアドロップ配布契約から1,118万の未請求ZKトークンを鋳造し、その後2日間でそのうち約671万を1,116 ETHに交換しました。開発チームのMatter Labsは4月15日に異常を発見した後、直ちに関連アカウントを凍結した。ZKsyncセキュリティ委員会が72時間の「セーフハーバー」最後通告を出した後、攻撃者は4月23日に資金の90％を返還し、10％の報奨金を受け取った。残りの資金は現在セキュリティ委員会によって保管されており、その後の処分はコミュニティガバナンスによって決定されます。調査の結果、エアドロップ契約が安全でない1/1マルチ署名管理モデルを採用し、削除されるべきトークン発行機能を保持していたことが原因であることが判明しました。

ZKsyncは、このインシデントは3つの特定のエアドロップ配信契約にのみ影響し、メインネットプロトコルとガバナンスシステムには損害がなかったと述べた。同様のインシデントを防止するため、プロジェクトチームは、複数のシグネチャの定期的なローテーションや監視システムのアップグレードなどの改善策を実施します。回収されたETHは段階的にZKトークンに変換され、最終的な返還計画はトークン議会で投票され承認される必要があります。調査の結果、鍵は元従業員のアカウントから漏洩した可能性があることが判明し、元従業員が悪意を持っていたことを示す証拠は発見されなかった。